Usunięcie pliku z twardego dysku komputera nie oznacza, że jest on całkowicie zniknięty. W wielu przypadkach, przy odpowiednich umiejętnościach technicznych, możliwe jest odzyskanie dokumentów i zdjęć, które wydawały się nieodwracalnie stracone. Narzędzia wykorzystywane w informatyce śledczej są nieocenione dla organów ścigania, ale jak dokładnie działają?
Podstawy prawne
Zanim przejdziemy do technicznych aspektów, warto zająć się procedurami i kwestiami prawnymi związanymi z informatyka śledczą w kontekście egzekwowania prawa.
Na początek warto obalić mit, że zawsze wymagany jest nakaz sądowy, aby funkcjonariusze mogli badać urządzenia cyfrowe, takie jak telefony czy komputery. Choć w wielu przypadkach tak jest, w przepisach prawnych znajdują się pewne „luki” (z braku lepszego określenia).
W wielu jurysdykcjach, w tym w Wielkiej Brytanii i Stanach Zjednoczonych, urzędnicy celni i imigracyjni mają prawo do przeszukiwania urządzeń elektronicznych bez wcześniejszego nakazu. Amerykańscy funkcjonariusze graniczni mogą również badać zawartość urządzeń bez nakazu, jeśli istnieje bezpośrednie ryzyko zniszczenia materiału dowodowego, co potwierdza orzeczenie XI obwodu z 2018 roku.
Brytyjscy policjanci z reguły mają większą swobodę w zajmowaniu zawartości urządzeń bez konieczności uzyskiwania zgody sędziego. Na przykład, mogą skorzystać z ustawy znanej jako Ustawa o Policji i Dowodach Karnych (PACE), aby pobrać dane z telefonu, niezależnie od tego, czy postawiono jakiekolwiek zarzuty. Jeśli jednak zdecydują się na dalsze badania, muszą uzyskać nakaz sądowy.
Przepisy prawne pozwalają również brytyjskiej policji na przeszukiwanie urządzeń bez nakazu w sytuacjach nagłych, takich jak zagrożenie terrorystyczne lub uzasadnione obawy dotyczące wykorzystywania dzieci w sposób seksualny.
Policja musi przestrzegać określonych zasad i procedur, aby zapewnić, że dowody będą uznawane za dopuszczalne. Zespoły zajmujące się informatyką śledczą dokumentują każdy krok, aby w razie potrzeby móc je powtórzyć i uzyskać te same rezultaty. W tym celu korzystają z wyspecjalizowanych narzędzi, które zabezpieczają integralność danych, na przykład stosując „blokady zapisu”. Dzięki temu specjaliści mogą wydobywać informacje, nie wprowadzając niezamierzonych zmian w badanych dowodach.
To właśnie te podstawy prawne oraz rygorystyczne procedury decydują o sukcesie dochodzenia w zakresie informatyki śledczej, a nie jedynie zaawansowane technologie.
Złożoność technologii przechowywania danych
Niezależnie od aspektów prawnych, istnieje wiele czynników, które wpływają na to, jak łatwo organy ścigania mogą odzyskać usunięte pliki. Należy do nich typ dysku, szyfrowanie oraz system plików.
Przykładem są dyski twarde. Choć zostały w dużej mierze zdominowane przez szybsze dyski SSD, mechaniczne dyski twarde (HDD) były głównym sposobem przechowywania danych przez ponad 30 lat.
Dyski twarde wykorzystują talerze magnetyczne do przechowywania informacji. Jeśli kiedykolwiek rozebrałeś dysk twardy, mogłeś zauważyć, że przypominają one płyty CD. Są okrągłe i srebrne.
Podczas pracy te talerze obracają się z niesamowitą prędkością – zazwyczaj 5400 lub 7200 obrotów na minutę, a w niektórych przypadkach nawet 15 000. Do tych talerzy przymocowane są specjalne „głowice”, które wykonują operacje odczytu i zapisu. Gdy plik jest zapisywany na dysku, ta „głowica” przemieszcza się w odpowiednie miejsce na talerzu i przekształca prąd elektryczny w pole magnetyczne, zmieniając właściwości talerza.
Ale jak „głowica” wie, gdzie się udać? Cóż, korzysta z tablicy alokacji, która zawiera zapis wszystkich plików przechowywanych na dysku. Co się dzieje, gdy plik zostaje usunięty?
Odpowiedź jest krótka: niewiele.
Długoterminowo, rekord dotyczący pliku jest usuwany, co oznacza, że miejsce na dysku jest gotowe do nadpisania. Niemniej jednak dane pozostają fizycznie na talerzach magnetycznych i są usuwane tylko wtedy, gdy nowe informacje zostaną zapisane w tym samym miejscu.
Aby usunąć plik, głowica musi fizycznie przemieścić się do odpowiedniego miejsca na talerzu i nadpisać je. Może to spowodować spowolnienie działania komputera oraz innych aplikacji. W przypadku dysków twardych łatwiej jest założyć, że usunięte pliki po prostu nie istnieją.
To ułatwia organy ścigania w odzyskiwaniu usuniętych plików, ponieważ muszą jedynie przywrócić brakujące elementy w tablicy alokacji. Można to zrealizować za pomocą darmowych narzędzi, takich jak Recuva.
Dyski SSD – nowa era
Dyski SSD różnią się od tradycyjnych dysków twardych. Nie zawierają ruchomych części, a dane są reprezentowane przez elektrony trzymane przez miliardy mikroskopijnych tranzystorów w układach NAND flash.
Dyski SSD mają pewne podobieństwa do HDD, ponieważ pliki są usuwane tylko w momencie, gdy są nadpisywane. Jednak kluczowe różnice mogą skomplikować pracę specjalistów zajmujących się informatyka śledczą. Tak jak w przypadku dysków twardych, dane na SSD są organizowane w blokach, których rozmiar różni się w zależności od producenta.
Jednakże, aby dysk SSD mógł zapisywać dane, dany blok musi być całkowicie pusty. W celu zapewnienia stałego dostępu do dostępnych bloków, komputer wydaje polecenie „TRIM”, które informuje dysk SSD, które bloki nie są już potrzebne.
Oznacza to, że podczas gdy śledczy próbują znajdować usunięte pliki, mogą odkryć, że dysk niewinnie umieścił je poza ich zasięgiem.
Dyski SSD mogą również rozpraszać pliki w wielu blokach, co pomaga zmniejszyć zużycie podczas użytkowania. Ponieważ mają one ograniczoną liczbę zapisów, ważne jest, aby dane były równomiernie rozmieszczone, a nie skoncentrowane w jednym miejscu. Ta technologia, znana jako wyrównywanie zużycia, utrudnia pracę specjalistom zajmującym się informatyką śledczą.
Dodatkowo, niektóre dyski SSD są trudniejsze do usunięcia, ponieważ niektórzy producenci laptopów decydują się na lutowanie pamięci masowej bezpośrednio do płyty głównej. Utrudnia to wyciąganie danych w sposób zgodny z wymaganiami prawnymi.
Prawdziwe wyzwania
Podsumowując, organy ścigania mogą odzyskiwać usunięte pliki, ale postęp technologiczny w zakresie pamięci masowej oraz powszechne szyfrowanie wprowadziły pewne komplikacje.
Często można jednak przezwyciężyć te trudności. W przypadku dochodzeń cyfrowych największym wyzwaniem dla organów ścigania nie są same mechanizmy dysków SSD, lecz brak wystarczających zasobów.
Wielu policjantów na całym świecie zmaga się z ogromnymi zaległościami, co przekłada się na liczne nieprzetworzone urządzenia, takie jak telefony, laptopy i serwery.
Na przykład, zapytanie o informacje publiczne z brytyjskiej gazety The Times ujawniło, że 32 siły policyjne w Anglii i Walii mają ponad 12 000 urządzeń oczekujących na analizę, a czas przetwarzania w tych jednostkach waha się od miesiąca do ponad roku.
Taki stan rzeczy ma swoje konsekwencje. Kluczowym elementem sprawiedliwości w sprawach karnych jest szybkie rozpatrywanie spraw. Jak mówi przysłowie, spóźniona sprawiedliwość jest jej zaprzeczeniem. Zasada ta jest tak fundamentalna, że znalazła swoje odzwierciedlenie w szóstym poprawce do konstytucji USA.
Niestety, to nie jest problem, który można łatwo rozwiązać bez dodatkowych funduszy na rekrutację i szkolenie pracowników. Nie można go również rozwiązać za pomocą nowoczesnej technologii.
newsblog.pl
Maciej – redaktor, pasjonat technologii i samozwańczy pogromca błędów w systemie Windows. Zna Linuxa lepiej niż własną lodówkę, a kawa to jego główne źródło zasilania. Pisze, testuje, naprawia – i czasem nawet wyłącza i włącza ponownie. W wolnych chwilach udaje, że odpoczywa, ale i tak kończy z laptopem na kolanach.